Bettis RPE-Serie
SIL Sicherheitshandbuch
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
März 2019
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Inhaltsverzeichnis
Abschnitt 1: Einführung
Abschnitt 2: Funktionale Spezifikation
Abschnitt 3: Konfiguration des Produkts
Abschnitt 4: Einschränkungen der Servicebedingung
(Nutzungsbeschränkung)
Abschnitt 5: Erwartete Lebensdauer
Inhaltsverzeichnis
März 2019
Abschnitt 6: Fehlermodi und geschätzte Fehlerraten
Abschnitt 7: Installations- und Standortakzeptanzverfahren
Abschnitt 8: Periodischer Test und Wartungsanforderungen
8.1 Allgemeines ............................................................................................... 9
8.2 Vollhub-Test............................................................................................... 9
8.3 Teilhubtest ............................................................................................... 12
8.4 Wiederholungstest und regelmäßige Wartung ........................................ 15
Abschnitt 9: Architektonische Einschränkungen
Abschnitt 10: Häufige Ursachefaktoren
Abschnitt 11: Mittlere Reparaturzeit
Abschnitt 12: Systematische Fähigkeit
IInhaltsverzeichnis
Abschnitt 1: Einführung
März 2019
Abschnitt 1: Einführung
Dieses in Übereinstimmung mit IEC 61508-2, Anhang D, verfasste Sicherheitshandbuch stellt
dem Systemintegrator alle notwendigen Informationen für die korrekte Verwendung des
Produktes in sicherheitsgerichteten Systemen für SIL-klassizierte Anwendungen bereit.
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
1
Einführung
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Abschnitt 2: Funktionale Spezifikation
Abschnitt 2: Funktionale Spezikation
Die Sicherheitsfunktion für den pneumatischen Antrieb der Bettis RPE-Serie ist wie
folgt deniert:
Double-Acting-Szenario:
a. Wenn in einer Anlage ein unsicherer Zustand durch einen Prozesssensor
erfasst wird, steuert die Steuerung über das Stellantriebssteuersystem den
Aktuator an, um das Abschaltventil zu schließen, druckentlastet (wenn
unter Druck) die Önungsseite des Aktuators und druckbeaufschlagt die
Schließseite des Aktors.
b. Wenn in einer Anlage ein unsicherer Zustand durch einen Prozesssensor
festgestellt wird, steuert die Steuerung über das Stellantriebssteuersystem
den Aktuator an, um das Ablassventil zu önen, druckbeaufschlagt
(wenn unter Druck) die Schließseite des pneumatischen Aktuators und
druckbeaufschlagt die Önungsseite des pneumatischen Antriebs.
März 2019
Single-Acting-Szenario:
a. Wenn ein unsicherer Zustand in einer Anlage durch einen Prozesssensor
erfasst wird, treibt die Steuerung über das Aktuatorsteuersystem den
Aktuator an, um sich mit ausreichendem Drehmoment zu drehen,
um ein Ventil in seinen ausfallsicheren Zustand zu bewegen, wenn der
Haltepositionsluftdruck freigegeben wird.
Das Auswahlverfahren der Marke Bettis bietet eine Funktionsdenition mit spezischen
Informationen zu Eingangsvariablen und Leistung.
In jedem Fall liegt die Wahl der zu realisierenden Sicherheitsfunktion in der Verantwortung
des Systemintegrators.
Funktionale Spezifikation
2
Abschnitt 3: Konfiguration des Produkts
März 2019
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Abschnitt 3: Konguration des Produkts
Die Bettis RPE-Serie sind pneumatisch betätigte Stellantriebe, die für den Betrieb von
Kugelhähnen/ Kükenhähnen/ Absperrklappen, die Automatisierung von Jalousien und
Luftklappen und die Automatisierung von jede Art Vierteldrehungs-Mechanismen.
Sowohl die doppeltwirkende als auch die einfachwirkende Version (Federrückstellung)
der pneumatischen Antriebe der RPE-Serie von Bettis sind so konstruiert, dass außen
(mit Ausnahme der Stellungsanzeige) keine beweglichen Teile vorhanden sind.
Dies macht sie sicher, einfach zu installieren und praktisch wartungsfrei.
Weitere Einzelheiten zu den Stellantriebskongurationen nden Sie in den
Produktdatenblättern der Bettis RPE-Serie, im Sicherheitshandbuch und im Installations-,
Betriebs- und Wartungshandbuch.
3
Konfiguration des Produkt
SIL-Sicherheitshandbuch
AB
A
B
A
B
A
B
Kolben Kolben
Ritzel
DOC.SILM.BE.DE Rev. 1
Abschnitt 4: Einschränkungen der Servicebedingung (Nutzungsbeschränkung)
Abschnitt 4: Einschränkungen der
Servicebedingung
(Nutzungsbeschränkung)
Die Betriebsfähigkeiten sind unten aufgeführt:
• Maximaler Betriebsdruck:
– Pneumatischer Service
– Bis zu 120 psig (8,3 barg)
• Umgebungstemperatur:
Temperaturextreme erfordern unterschiedliche Lösungen, um die
Funktionsfähigkeit und Zuverlässigkeit des Antriebs aufrechtzuerhalten. Für jeden
Antrieb der Bettis RPE-Serie gibt es drei verschiedene Temperaturausführungen.
– -20°C bis +80°C (-4°F bis +176°F) Standardtemperatur
– -10°C bis +120°C (+14°F bis +250°F) Hochtemperatur
– -40°C bis +80°C (-40°F bis +176°F) Tieftemperatur
März 2019
• Drehmoment Ausgangsbereich:
– Doppeltwirkende Antriebe der Bettis RPE-Serie, die einen Druck in beide
Richtungen benötigen, sind mit einem Drehmomentbereich zwischen 4,8
Nm erhältlich (44 lbf.in) und 6.490 Nm (59000 lbf.in)
– Die Federrücklauf-Modelle der RPE-Serie von Bettis benötigen Druck
in nur einer Bewegungsrichtung und eignen sich für Luftausfall- und
Luftausfall-Anwendungen ohne Änderung. Diese Modelle sind mit einem
Drehmoment von 2 Nm (20 lbf.in) und 2394 Nm (21000 lbf.in) erhältlich.
• Sicherheitsfunktion:
Bei Federrücklauf-Modellen erfolgt die Sicherheitsfunktion selbstverständlich
durch die Federn. Die Sicherheitsfunktion von doppelt wirkenden Modellen sollte
von der A-Kammer für sicherheitsbezogene Systeme durchgeführt werden.
Abbildung 1 Verwenden Sie die A-Kammer für sicherheitsrelevante Systeme an doppelt
wirkenden Stellantrieben
Baugruppen-Code: CW Baugruppen-Code: CC
= Sicherheitsfunktion ist = Sicherheitsfunktion ist
Drehung gegen den Uhrzeigersinn Drehung im Uhrzeigersinn
Einschränkungen der Servicebedingung (Nutzungsbeschränkung)
4
Abschnitt 4: Einschränkungen der Servicebedingung (Nutzungsbeschränkung)
März 2019
• Verwendung der Handnotbetätigung:
Die Verwendung der Handnotbetätigung wird in SIL-klassizierten Anwendungen
nicht empfohlen, da sie zu einer Umgehung der Sicherheitsfunktion führt.
Falls die Handnotbetätigung dennoch verwendet wird, müssen die folgenden
Anforderungen erfüllt werden, um den Verlust der Zertizierung für die
funktionale Sicherheit zu vermeiden:
– Die Handnotbetätigung muss vor unzulässiger Betätigung geschützt
werden (z. B. durch eine abschließbare Verriegelung in Verbindung mit
wirksamen Unternehmenskontrollen).
– Die für den Betrieb des Antriebs autorisierten Benutzer müssen Fachkräfte sein.
– Die maximale Dauer der Handnotbetätigung muss festgelegt sein.
– Falls notwendig müssen Kompensationsmaßnahmen festgelegt werden,
um den sicheren Betrieb des Prozesses zu ermöglichen (Verantwortung
des Endanwenders).
• Wenn Prüfungs- oder Bypasseinrichtungen Teil der sicherheitsgerichteten
Systeminstrumentierung (SIS) sind, müssen diese mit Folgendem konform sein:
– Die sicherheitsgerichtete Systeminstrumentierung (SIS) muss gemäß den
in der Sicherheitsanforderungsspezikation (SRS) denierten Wartungsund Prüfanforderungen ausgelegt sein.
– Der Bediener sollte über den Bypass von Abschnitten der
sicherheitsgerichtete Systeminstrumentierung (SIS) mithilfe eines
Alarms oder eines Betriebsverfahrens alarmiert werden. Vor Auswahl des
Fernsteuerungs-Betriebsmodus des Antriebs muss die Handnotbetätigung
gemäß der zutreenden Installations-, Betriebs- und Wartungsanleitung
deaktiviert werden.
Die gewählte Position (externe/automatische Steuerung oder lokale/manuelle Steuerung)
kann mit einer spezischen technischen Lösung erreicht werden, die keine Mittelstellung
von Hebeln zulässt und eine unbeabsichtigte Aktivierung vermeidet.
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Die Aktivierung der Handnotbetätigung sollte gemäß der Installations-, Betriebs- und
Wartungsanleitung zumindest lokal signalisiert werden. Als optionale Anforderung
des Endanwenders kann zur Ermittlung, ob die Handnotbetätigung aktiviert ist, ein
elektrisches Signal mittels Kontaktschaltung bereitgestellt werden, um den Status an die
Leitwarte zu übertragen.
• Verlust der Versorgung:
Für doppelt wirkende Kongurationen, die bei Verlust der Versorgung (z. B. des
elektrischen Stroms oder der Druckluft) nicht in den sicheren Zustand übergehen,
sollten ein System für das Erkennen und Melden des Versorgungsverlustes und
der Schaltkreisintegrität der sicherheitsgerichteten Systeminstrumentierung
implementiert werden (z. B. End-of-Line-Überwachung, Messung des
Versorgungsdrucks) und gemäß Teil 11.3 von IEC 61511-1 Maßnahmen
ergrien werden.
5
Einschränkungen der Servicebedingung (Nutzungsbeschränkung)
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Abschnitt 5: Erwartete Lebensdauer
Abschnitt 5: Erwartete Lebensdauer
Die Lebensdauer des Aktuators (für die die in Par. 5 angegebenen Ausfallraten
gewährleistet sind) hängt stark davon abunter Betriebsbedingungen.
Für normale Betriebsbedingungen können die Antriebe der Bettis RPE-Serie in gutem
Zustand seinauch nach mehr als 10 Jahren mit geplantem minimalem Wartungsaufwand.
Normales Arbeitsleben ist 500.000 Zyklen. Die Bettis RPE-Serie hat eine Garantiezeit von:
• 18 Monate nach Lieferung bei ordnungsgemäßer Lagerung unter den von uns
angegebenen Bedingungen
• 12 Monate nach der Installation vor Ort.
März 2019
Erwartete Lebensdauer
6
Abschnitt 6: Fehlermodi und geschätzte Fehlerraten
März 2019
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Abschnitt 6: Fehlermodi und geschätzte
Fehlerraten
Tabelle 1. Fehlermodi und geschätzte Fehlerraten - Bettis RPE-Serie Aktuator
Aufbau Sicherheitsfunktion λDU [1/h] λDD [1/h] λS [1/h]
F- Keine PST 1
F - Mit PST 1
HINWEIS:
• Dieses Produkt verfügt über keine internen Diagnosefunktionen.
• Die obigen Ausfallraten sind für Folgendes garantiert:
- Für die in Abschnitt 4 angegebenen Betriebsbedingungen.
- Für die in Abschnitt 5 angegebene erwartete Lebensdauer.
- Unter Berücksichtigung der regelmäßigen Prüfung und Wartung
gemäß Abschnitt 8.
Die Ausfallraten werden durch die Ausführung einer FMEDA-Analyse basierend auf
den Ausfallraten der Komponenten, die aus industriellen Datenbanken (NPRD-2016/
FMD97/2016, EXIDA E&MCRH und NSWC-2011) stammen, ermittelt und mit Feedback aus
dem Feld unter Verwendung des statistischen Bayesian-Ansatzes, der in IEC 61508-2 Teil
7.4.4.3.3 erwähnt wird, integriert.
Das System für die Meldung von Ausfällen ist basiert auf dem Rückmeldungen von
Endverbrauchern und schließt Folgendes ein:
- Identizierung der Beanstandung/des Ausfalls
- Analyse der Grundursache, um Grund des und Zuständigkeit für den Ausfall
zu identizieren
- Identizierung der möglichen Auswirkung des Ausfalls auf die
Sicherheitsfunktion
- Klassizierung des Ausfalls unter Berücksichtigung der Ausfallkategorien
von IEC 61508-2 (sicher, gefährlich, ohne Auswirkung) Kundendienst-,
Qualitäts- und technische Abteilung sind gemäß der jeweiligen Funktion für
das Verfahren verantwortlich.
2,55E-08 0,00E+00 0,00E+00
2,29E-09 2,.32E-08 0,00E+00
7
Fehlermodi und geschätzte Fehlerraten
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Abschnitt 7: Installations- und Standortakzeptanzverfahren
Abschnitt 7: Installations- und
Standortakzeptanzverfahren
Alle notwendigen Installations - und Standortakzeptanzverfahren werden erklärt im Bettis
Stellantriebe der RPE-Serie Installations-, Betriebs- und Wartungshandbuch.
Das Installations-, Bedienungs- und Wartungshandbuch deniert die Ausübung des
Antriebs nach der Installation und deniert Tests nach der Wartung.
März 2019
Installations- und Standortakzeptanzverfahren
8
Abschnitt 8: Periodische Test- und Wartungsanforderungen
März 2019
SIL-Sicherheitshandbuch
Abschnitt 8: Periodischer Test und
Wartungsanforderungen
8.1 Allgemeines
Bitte beachten Sie, dass die Informationen in diesem Abschnitt nur in Bezug auf relevant
sind Zuverlässigkeitstests; siehe Dok. Installations-, Bedienungs- und Wartungsanleitung
für detaillierte Informationen über Produktpege, Handhabung und Lagerung.
Diagnosetests können vorgenommen werden, um die Systemzuverlässigkeit zu erhöhen
(Vollhub- oder Partial-Stroke-Test). "Vor Ort" Tests hängen von den Anforderungen
des Projekts / der Anlagen ab; Allerdings muss ein Funktionstest erfolgen Vor Ort vor
Inbetriebnahme des Antriebs ausgeführt.
8.2 Vollhub-Test
DOC.SILM.BE.DE Rev. 1
The “Full Stroke Test” (“On-line”) must be performed to satisfy the PFD
(average probability of failure on demand) value.
Die Häugkeit der Durchführung des Vollhubtests wird vom Systemintegrator basierend
auf dem denierten PFD
• Verfahren:
– Die Baugruppe Antrieb/Ventil für zwei vollständige Zyklen önen/
schließen, wobei das Ventil komplett geschlossen wird.
– Die korrekte Ausführung des Manövers für Önen/Schließen innerhalb der
erforderlichen Betriebszeiten (z. B. die korrekte Bewegung von Antrieb/
Ventil lokal oder automatisch über Logikbaustein prüfen) prüfen.
– Ergebnisse mit denen vergleichen, die während Abnahmeprüfungen (SAT)
gespeichert wurden.
– Prüfungsergebnisse in der Datenbank der Sicherheitsfunktion (SIF) Ihres
Unternehmens aufzeichnen.
– Normalbetrieb wiederherstellen.
Unter Berücksichtigung der Anwendung des vorstehend beschriebenen Verfahrens für
den Vollhubtest kann davon ausgegangen werden, dass im Falle eines automatischen
Verfahrens die „Abdeckung der Prüfung“ mehr als 99% beträgt.
Beim manuellen Verfahren sollte die „Abdeckung der Prüfung“ ebenso die Fehlerhaftigkeit
der Prüfung sowie die Zuverlässigkeit/Kompetenz des Bedieners berücksichtigen.
-Wert festgelegt, der erreicht werden soll.
AVG
AVG
9
Periodische Test- und Wartungsanforderungen
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
HINWEIS:
• Beim automatischen Test ist die Abdeckung der Prüfung die Abdeckung der
Abnahmeprüfung (PTC), kann jedoch auch als Abdeckung der Diagnose (DC)
betrachtet werden.
• Beim manuellen Test ist die Abdeckung der Prüfung die Abdeckung der
Abnahmeprüfung (PTC), kann jedoch nicht als Abdeckung der Diagnose (DC)
betrachtet werden.
Das Verfahren kann manuell und automatisch durchgeführt werden. Nachfolgend sind für
beide Fälle die folgenden Punkte angegeben:
• Parameter, die gemessen werden sollen
• Instrumente, die verwendet werden sollen
• Erkannte Ausfallmodi
• Parameter für Abdeckung der Diagnose/Abnahmeprüfung
Parameters die gemessen werden sollen:
Die folgenden Parameter müssen für einen wirksamen Vollhubtest gemessen werden:
• Winkelstellung der Welle;
• Zeit, die notwendig ist, um die Endposition zu erreichen;
• Abtriebsmoment (als indirektes Maß durch die Druckmessung in der Zylinderkammer)
Abschnitt 8: Periodische Test- und Wartungsanforderungen
März 2019
HINWEIS:
Es werden nicht alle Parameter benötigt, jedoch können die folgenden Kombinationen
verwendet werden:
1. Messung der Winkelstellung als Zeitfunktion (Druckmessung ist optional)
2. Messung des Zylinderkammerdrucks als Zeitfunktion
3. Verizierung des Erreichens der Endposition in der festgelegten maximalen Zeit
Periodische Test- und Wartungsanforderungen
10
Abschnitt 8: Periodische Test- und Wartungsanforderungen
März 2019
Tabelle 2. Instrumente/Geräte, die für die Prüfung verwendet werden sollen
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Anzahl
Winkelstellung
der Welle
Notwendige Zeit für
das Erreichen der
Endposition
Abtriebsmoment
(Druck im Zylinder)
Instrumente/Geräte
Automatisches Verfahren Manuelles Verfahren
Fall A
Verwendung eines Logikbausteins:
1. Endschalterkasten oder 4÷20 mAStellungsrückmelder
2. Digitales/analoges Eingangsmodul
sind im Logikbaustein inbegrien
3. Funktion der Anwendungssoftware
(um den gegenwärtigen Trend mit den
während der Abnahmeprüfung (SAT)
gespeicherten zu vergleichen)
Fall B
Verwendung des Teilhub-Testgerätes:
1. Endschalterkasten oder 4÷20 mAStellungsrückmelder
2. Teilhub-Testgerät mit integrierter
Softwarefunktion
Wie oben
Fall A
Verwendung eines Logikbausteins:
1. An der Zylinderkammer angeschlossener Druckmessumformer
2. Analoges Eingangsmodul, das im
Logikbaustein inbegrien ist
3. Funktion der Anwendungssoftware
(um den gegenwärtigen Trend mit den
während der Abnahmeprüfung (SAT)
gespeicherten zu vergleichen)
Fall B
Verwendung des Teilhub-Testgerätes:
1. An der Zylinderkammer angeschlossener Druckmessumformer
2. Teilhub-Testgerät mit integrierter Softwarefunktion
1. Endschalterkasten und/
oder visuelle Anzeige
2. Geschultes Fachpersonal
1. Endschaltergehäuse und/
oder visuelle Anzeige
2. Chronometer
3. Geschultes Fachpersonal
Geschultes Fachpersonal (um
auf hörbares teilweises Hängenbleiben
zu überprüfen)
11
Tabelle 3. Durch Test erkennbarer Ausfallmodus
Komponente
Gehäuse Bruch
Enddeckel Bruch
Kolben
Zahnstange
Ritzel
Feder
Hubverstellung
Automatisches Verfahren Manuelles Verfahren
Bruch
Hängenbleiben
Bruch
Klemmung
Bruch
Klemmung
Bruch
Geschwächt
Bruch
Gebogen
Erkennbare Ausfallmodi
Periodische Test- und Wartungsanforderungen
Wie beim automatischen
Verfahren
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
HINWEIS:
• Die vorstehend angegebenen Punkte sind die hauptsächlichen Ausfallmodi der
Hauptkomponenten
• Beim manuellen Verfahren sind die erkennbaren Ausfallmodi dieselben wie
beim automatischen Verfahren. Die Abdeckung der Prüfung ist aufgrund der
menschlichen Komponente niedriger als die für den automatischen Modus.
• Das manuelle Verfahren kann nicht als Diagnose angesehen werden.
8.3 Teilhubtest
Abschnitt 8: Periodische Test- und Wartungsanforderungen
März 2019
Der "Partial Stroke Test" ("Online") kann durchgeführt werden, um den PFD
-Wert zu
AVG
verbessern.
Für einen Teilhubtest führt der Antrieb einen Zyklus mit teilweisem Önem und teilweisem
Schließen aus. Dies ist gewöhnlich eine Ventildrehung von 15 bis 25Grad, um die korrekte
Funktionsweise des Antriebs und die korrekte Bewegung des Ventils zu überprüfen (nicht
hängend und in der Lage, sich zu bewegen).
Der „Teilhubtest“ („Online-Test“) kann durchgeführt werden, um die Anforderungen für
den PFD
-Wert (mittlere Wahrscheinlichkeit eines Ausfalls bei Anforderungsfall)
AVG
zu erfüllen.
• Empfohlenes Testintervall = 1 bis 3 Monate.
• Verfahren:
– Den Antrieb für zwei teilweise Zyklen önen/schließen, um die korrekte
Funktionsweise der Baugruppe Antrieb/Ventil zu prüfen;
– Prüfen, ob das Teilhubmanöver korrekt und innerhalb der erwarteten Zeit
ausgeführt wurde;
– Die korrekte Ausführung des Teilhubbetriebs innerhalb der erwarteten
Zeit prüfen (z. B. lokal oder automatisch über Logikbausteine oder über
das Teilhub-Testsystem die korrekte Bewegung der Antrieb/VentilBaugruppe überprüfen)
– Die Antriebskomponenten auf (interne und externe) Leckagen prüfen.
• Das Verfahren kann manuell und automatisch durchgeführt werden. Nachfolgend
sind für beide Fälle die folgenden Punkte angegeben:
– Parameter, die gemessen werden sollen – Instrumente, die verwendet
werden sollen
– Erkannte Ausfallmodi
– Abdeckung der Diagnose/Abnahmeprüfung Die oben aufgeführten zu
überprüfenden
Parameter hängen vom verfügbaren Teilhub-Testsystem ab. Abhängig von der Anwendung
des oben beschriebenen Teilhubtests beträgt die „Abdeckung der Diagnose“ mehr als 90%.
Beim manuellen Verfahren sollte die „Abdeckung der Prüfung“ ebenso die Fehlerhaftigkeit
der Prüfung sowie die Zuverlässigkeit/Kompetenz des Bedieners berücksichtigen.
Periodische Test- und Wartungsanforderungen
12
Abschnitt 8: Periodische Test- und Wartungsanforderungen
März 2019
HINWEIS:
• Beim automatischen Test kann die Abdeckung der Prüfung auch als DC
betrachtet werden.
• Beim manuellen Test kann die Abdeckung der Prüfung nicht als DC
betrachtet werden.
Parameter, die gemessen werden sollen:
Die folgenden Parameter müssen für einen wirksamen Teilhubtest gemessen werden:
• Winkelstellung der Welle;
• Zeit, die notwendig ist, um die Endposition zu erreichen;
• Abtriebsmoment (als indirektes Maß durch die Druckmessung in der Zylinderkammer)
HINWEIS:
Es werden nicht alle Parameter benötigt, jedoch können die folgenden Kombinationen
verwendet werden:
1. Messung der Winkelstellung als Zeitfunktion (Druckmessung ist optional)
2. Messung des Zylinderkammerdrucks als Zeitfunktion
3. Verizierung des Erreichens der Endposition in der festgelegten maximalen Zeit.
Die zu messenden Parameter hängen vom verfügbaren Teilhub-Testsystem ab.
Instrumente/Geräte, die für die Prüfung verwendet werden sollen: Der Teilhubtest kann auf
folgende Weise ausgeführt werden:
1. Mittels eines gewerblichen Teilhub-Testgerätes folgende Messungen/Verizierungen
durchführen:
a) Messung der Winkelstellung als Zeitfunktion
b) Messung des Zylinderkammerdrucks als Zeitfunktion (optional)
c) Verizierung des Erreichens der Endstellung in der festgelegten maximalen Zeit.
2. Mittels eines Logikbausteins folgende Messungen/Verizierungen durchführen:
a) Messung der Winkelstellung als Zeitfunktion
b) Messung des Zylinderkammerdrucks als Zeitfunktion (optional)
c) Verizierung des Erreichens der Endstellung in der festgelegten maximalen Zeit.
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
13
Periodische Test- und Wartungsanforderungen
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Tabelle 4. Instrumente/Geräte, die für die Prüfung verwendet werden sollen
Abschnitt 8: Periodische Test- und Wartungsanforderungen
März 2019
Anzahl
Winkelstellung
der Welle
Notwendige Zeit für
das Erreichen der
Endposition
Abtriebsmoment
(Druck im Zylinder)
Instrumente/Geräte
Automatisches Verfahren Manuelles Verfahren
Fall A
Verwendung eines Logikbausteins:
1. Endschalterkasten oder 4÷20 mAStellungsrückmelder
2. Digitales/analoges Eingangsmodul
sind im Logikbaustein inbegrien
3. Funktion der Anwendungssoftware
(um den gegenwärtigen Trend mit den
während der Abnahmeprüfung (SAT)
gespeicherten zu vergleichen)
Fall B
Verwendung des Teilhub-Testgerätes:
1. Endschalterkasten oder 4÷20 mAStellungsrückmelder
2. Teilhub-Testgerät mit integrierter
Softwarefunktion
Wie oben
Fall A
Verwendung eines Logikbausteins:
1. An der Zylinderkammer angeschlossener Druckmessumformer
2. Analoges Eingangsmodul, das im
Logikbaustein inbegrien ist
3. Funktion der Anwendungssoftware
(um den gegenwärtigen Trend mit den
während der Abnahmeprüfung (SAT)
gespeicherten zu vergleichen)
Fall B
Verwendung des Teilhub-Testgerätes:
1. An der Zylinderkammer angeschlossener Druckmessumformer
2. Teilhub-Testgerät mit integrierter Softwarefunktion
1. Endschalterkasten und/
oder visuelle Anzeige
2. Geschultes Fachpersonal
1. Endschaltergehäuse und/
oder visuelle Anzeige
2. Chronometer
3. Geschultes Fachpersonal
Geschultes Fachpersonal (um
auf hörbares teilweises Hängenbleiben
zu überprüfen)
Tabelle 5. Durch Test erkennbarer Ausfallmodus
Komponente
Gehäuse Bruch
Enddeckel Bruch
Kolben
Zahnstange
Ritzel
Feder
Hubverstellung
Periodische Test- und Wartungsanforderungen
Erkennbare Ausfallmodi
Automatisches Verfahren Manuelles Verfahren
Bruch
Hängenbleiben
Bruch
Klemmung
Bruch
Klemmung
Bruch
Geschwächt
Bruch
Gebogen
Wie beim automatischen
Verfahren
14
Abschnitt 8: Periodische Test- und Wartungsanforderungen
März 2019
HINWEIS:
• Die vorstehend angegebenen Punkte sind die hauptsächlichen Ausfallmodi der
Hauptkomponenten
• Beim manuellen Verfahren sind die erkennbaren Ausfallmodi dieselben wie beim
automatischen Verfahren. Die Abdeckung der Prüfung ist aufgrund der
menschlichen Komponente niedriger als die für den automatischen Modus.
• Das manuelle Verfahren kann nicht als Diagnose angesehen werden. Die Prüfung
kann als „nicht perfekte Abnahmeprüfung“ angesehen und bei der Schätzung des
PFD
Anteils ungefährlicher Ausfälle (SFF) nicht in Erwägung gezogen wird.
-Wertes in Betracht gezogen werden, während sie für die Schätzung des
AVG
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
8.4 Wiederholungstest und regelmäßige Wartung
Wir empfehlen, bei jedem Prüntervall, das den Vorschriften des Landes der endgültigen
Installation entspricht, die folgenden Prüfungen durchzuführen:
• Überprüfen Sie das gesamte Ventilbetriebssystem visuell.
• Stellen Sie sicher, dass die druckführenden Teile nicht undicht sind.
• Überprüfen Sie die pneumatischen Anschlüsse auf Dichtheit. Ziehen Sie die
Rohrverschraubungen nach Bedarf fest.
• Überprüfen Sie, ob die manuelle Übersteuerung (wo vorgesehen) regelmäßig
erfolgt.
• Prüfen, ob die Filterkartusche (wo vorgesehen) einwandfrei ist und der Filtertopf
(wo vorgesehen) ordnungsgemäß gereinigt wurde.
• Überprüfen Sie die Einstellung der Überdruckventile (wo vorgesehen).
• Sicherstellen, dass der Druck des Versorgungsdruckes des Kraftuids innerhalb des
erforderlichen Bereichs liegt.
• Entfernen Sie angesammelten Staub und Schmutz von allen Antriebsächen.
• Überprüfen Sie die Lackierung des Stellantriebs auf Beschädigungen, um einen
anhaltenden Korrosionsschutz zu gewährleisten. Nach Bedarf entsprechend den
geltenden Lackspezikationen ausbessern.
• Bedienen Sie die Baugruppe Antrieb / Ventil für 2 Zyklen zum Önen / Schließen
mit vollständigem Schließen des Ventils.
• Überprüfen Sie die korrekte Ausführung der Önungs- / Schließvorgänge (z. B.
Überprüfung der korrekten Bewegung des Stellantriebs vor Ort oder automatisch
über den Logik-Solver).
Das Installations-, Bedienungs- und Wartungshandbuch deniert ein
Mindestwartungsintervall nach 500.000 Zyklen für die Bettis RPE-Serie. Dies betrit
Komponenten, die altersbedingt beeinträchtigt sein können. Nach Ablauf des
Wartungsintervalls ist eine komplette Überholung des Antriebs erforderlich.
15
Periodische Test- und Wartungsanforderungen
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Abschnitt 9: Architektonische Einschränkungen
März 2019
Abschnitt 9: Architektonische
Einschränkungen
Für die Beurteilung der Konformität gemäß den Anforderungen für die
architekturbedingten Einschränkungen der Sicherheitsintegrität der Hardware basierend
auf der Norm IEC 61508 werden sowohl Route 1H als auch Route 2H verwendet.
Route 1H
• Das Produkt verfügt über eine Einkanalkonguration,
Hardware-Fehlertoleranz (HFT) = 0
• Anteil ungefährlicher Ausfälle λS:
– Einfach wirkende Antriebe: Gemäß den Denitionen von IEC 65108
(insbesondere den Denitionen 3.6.8 und 3.6.13 von IEC 61508-4)
sind in einem einfach wirkenden Antrieb keine ungefährlichen Ausfälle
möglich. Jeder Ausfallmodus des Antriebs selbst muss als „gefährlich“
oder „ohne Auswirkungen“ klassiziert werden (Ausfälle, welche den
fehlerhaften Betrieb der Sicherheitsfunktion erzeugen können, sind
nur zum Antrieb selbst extern oder gehören zu Komponenten, die „bei
der Implementierung der Sicherheitsfunktion keine Rolle spielen“, z.
B. Komponenten des pneumatischen Zylinders). Deshalb können sie
gemäß der Denition 3.6.13 von IEC 61508- 4 nicht für die Berechnung
des Anteils ungefährlicher Ausfälle (SFF) verwendet werden. Daher ist für
jeden einfach wirkenden Antriebstyp λS = 0.
– Doppelt wirkende Antriebe: Gemäß den Denitionen von IEC 65108
(insbesondere den Denitionen 3.6.8 und 3.6.13 von IEC 61508-4) sind in
einem doppelt wirkenden Antrieb keine ungefährlichen Ausfälle möglich.
Jeder Ausfallmodus des Antriebs selbst muss als „gefährlich“ oder „ohne
Auswirkungen“ klassiziert werden (Ausfälle, welche den fehlerhaften
Betrieb der Sicherheitsfunktion erzeugen können, sind nur zum
Antrieb selbst extern, und im Falle eines Verlusts der Stromversorgung
verbleibt der Antrieb in seiner Position). Deshalb können sie gemäß der
Denition 3.6.13 von IEC 61508- 4 nicht für die Berechnung des Anteils
ungefährlicher Ausfälle (SFF) verwendet werden. Daher ist für jeden
doppelt wirkenden Antriebstyp λS = 0.
Aus diesem Grund gilt gemäß Denition 3.6.15 von IEC 61508-4 Folgendes:
• Anteil ungefährlicher Ausfälle (SFF) = 0 ohne externe Diagnoseprüfungen;
• Anteil ungefährlicher Ausfälle (SFF) > 0 mit externen Diagnoseprüfungen,
Route 2
• Die Anwendung von Route 2H („Feedback vor Ort“) wird bewertet.
• Da das Produkt als „Typ A“ klassiziert ist, sind für Route 2H keine Anforderungen
Schlussfolgerung:
Das Produkt kann in folgenden Einkanalkongurationen verwendet werden (bis zu):
• SIL 2 ohne externe Diagnoseprüfungen
• SIL 3 unter Berücksichtigung von externen Diagnoseprüfungen
Architektonische Einschränkungen
die gemäß Denition 3.8.7 von IEC61508-4 und den oben in Abschnitt 6
angegebenen Punkten (siehe gleichen Absatz für den erreichbaren Anteil
ungefährlicher Ausfälle (SFF)/die Abdeckung der Diagnose (DC))
ausgeführt werden.
H
für den Anteil ungefährlicher Ausfälle (SFF) gegeben.
16
Abschnitt 10: Häufige Ursachefaktoren
März 2019
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Abschnitt 10: Häuge Ursachefaktoren
Das Produkt verfügt über eine Einkanalkonguration, Hardware-Fehlertoleranz (HFT) = 0.
Die β-Faktoren können verwendet werden, wenn eine PFD
Architekturen ausgeführt wird.
Die bei der Verwendung des Produktes in redundanten Kongurationen relevanten
gemeinsamen Ursachenfaktoren sind: β = βD = 0,05
HINWEIS:
• Der obige Wert gilt für 1oo2-Architekturen. Die Werte für andere Architekturen
sollten gemäß IEC 61508 Teil 6, Tabelle D.5, berechnet werden.
• Der obige Wert wird in der Hypothese der Redundanz ohne Vielfalt berechnet.
-Berechnung für redundante
AVG
17
Häufige Ursachefaktoren
SIL-Sicherheitshandbuch
DOC.SILM.BE.DE Rev. 1
Abschnitt 11: Mittlere Reparaturzeit
Abschnitt 11: Mittlere Reparaturzeit
Die mittlere Reparaturzeit des Geräts beträgt 1 Stunde.
BEACHTEN
Die mittlere Reparaturzeit wird unter Berücksichtigung der Verfügbarkeit von
qualiziertem Personal für Wartung, Ersatzteile und angemessener Werkzeuge und
Materialien vor Ort geschätzt (dh es umfasst die eektive Reparaturzeit und die Zeit bis zur
Wiederinbetriebnahme der Komponente).
Verfahren zum Reparieren oder Ersetzen der Bettis RPE-Serie-Aktuatoren nden Sie
im jeweiligen Installations-, Betriebs- und Wartungshandbuch. In der Installations-,
Betriebs- und Wartungsanleitung nden Sie alle Werkzeuge, die für die Reparatur und
den Austausch benötigt werden, sowie die erforderliche Kompetenz der Techniker. Die
Wartung und die nachfolgenden Testverfahren sind ebenfalls im Handbuch für Installation,
Betrieb und Wartung enthalten. Alle vom Endnutzer bei Wartungs-, Reparatur- oder
Nachweisprüfungen festgestellten Fehler, die die funktionale Sicherheit der Bettis
RPE-Serie beeinträchtigen könnten, sollten an den Kundendienstkoordinator von Actuation
Technologies gemeldet werden.
März 2019
Mittlere Reparaturzeit
18
Abschnitt 12: Systematische Fähigkeit
März 2019
SIL-Sicherheitshandbuch
Abschnitt 12: Systematische Fähigkeit
Die systematische Fähigkeit des Gerätes ist 3.
Diese systematische Fähigkeit ist nur gewährleistet, wenn der Benutzer:
1. Verwenden Sie das Gerät gemäß der Bedienungsanleitung und dem
vorliegenden Handbuch.
2. Verwenden Sie das Gerät in der entsprechenden Umgebung
(Nutzungsbeschränkung).
DOC.SILM.BE.DE Rev. 1
19
Systematische Fähigkeit
World Area Configuration Centers (WACC) bieten unseren globalen Kunden
Verkaufsunterstützung, Service, Inventarisierung und Inbetriebnahme.
Wählen Sie das WACC oder Verkaufsbüro in Ihrer Nähe:
NORD- UND SÜDAMERIKA
19200 Northwest Freeway
Houston TX 77065
USA
T +1 281 477 4100
Av. Hollingsworth
325 Iporanga Sorocaba
SP 18087-105
Brasilien
T +55 15 3413 8888
ASIEN/PAZIFIK
No. 9 Gul Road
#01-02 Singapur 629361
T +65 6777 8211
No. 1 Lai Yuan Road
Wuqing Development Area
Tianjin 301700
Volksrepublik China
T +86 22 8212 3300
Eine vollständige Liste aller Vertriebs- und Fertigungsstandorte nden
Sie unter www.emerson.com/actuationtechnologieslocations
oder kontaktieren Sie uns unter info.actuationtechnologies@emerson.com
NAHER OSTEN UND AFRIKA
P. O. Box 17033
Dubai
Vereinigte Arabische Emirate
T +971 4 811 8100
P. O. Box 10305
Jubail 31961
Saudi Arabien
T +966 3 340 8650
24 Angus Crescent
Longmeadow Business Estate East
P.O. Box 6908 Greenstone
1616 Modderfontein Extension 5
Südafrika
T +27 11 451 3700
EUROPA
Holland Fasor 6
Székesfehérvár 8000
Ungarn
T +36 22 53 09 50
Strada Biffi 165
29017 Fiorenzuola d'Arda (PC)
Italien
T +39 0523 944 411
www.emerson.com/bettis
©2019 Emerson. Alle Rechte vorbehalten.
Das Emerson-Logo ist eine Marke und Dienstleistungsmarke der Emerson
Electric Co. BettisTM ist eine Marke eines Unternehmens der Emerson-Gruppe.
Alle anderen Marken sind Eigentum ihres jeweiligen Inhabers.
Der Inhalt dieser Veröffentlichung dient nur zu Informationszwecken;
obwohl große Sorgfalt zur Gewährleistung ihrer Exaktheit aufgewendet
wurde, können diese Informationen nicht zur Ableitung von Garantie- oder
Gewährleistungsansprüchen, ob ausdrücklicher Art oder stillschweigend,
hinsichtlich der in dieser Publikation beschriebenen Produkte oder
Dienstleistungen oder ihres Gebrauchs oder ihrer Verwendbarkeit
herangezogen werden. Für alle Verkäufe gelten unsere allgemeinen
Geschäftsbedingungen, die auf Anfrage zur Verfügung gestellt werden.
Wir behalten uns das Recht vor, die Gestaltung oder Spezifikationen
unserer Produkte jederzeit und ohne Ankündigung zu ändern.
Loading...